מסגרת עצבית קונבולוציונית ספייקית היברידית עם מכונת למידה קיצונית לזיהוי חריגות משופר באבטחת רשת

מדוע שומרים דיגיטליים חכמים חשובים יותר

החיים המודרניים פועלים על זרמי נתונים בלתי נראים, מבנקאות מקוונת ועד תרמוסטטים חכמים. בתוך הזרם הדיגיטלי המתמשך הזה גלויים מתקפות סייבר כתקיעות זעירות שקל לפספס אך יקר להתעלם מהן. מאמר זה מציג שיטה חדשה בהשראת המוח לזהות אותות אזהרה דקיקים אלה בזמן אמת, אפילו כשהם קבורים בנפחים עצומים של תנועה שבדרך כלל תקינה, ולעשות זאת עם השהיה נמוכה יותר וצריכת אנרגיה מופחתת ביחס לכלים רבים קיימים.

צפייה בנתונים חיים במקום תמונות קפואות

מערכות זיהוי חדירות מסורתיות לרוב לומדות מתוך מערכי נתונים סטטיים ומתוייגים שבהם כל דוגמה מסומנת בבירור כתקינה או זדונית. רשתות אמיתיות שונות: הנתונים מגיעים ברצף, ההתקפות מתפתחות ותוויות ברורות נדירות. המחברים מתמקדים בעולם הזרימה הזה, שבו חריגות יכולות להיות פחות מאחוז מכל האירועים ועדיין יש לתפוס אותן במהירות מבלי להציף מפעילים באזהרות שגויות. הם נשענים על רשתות עצביות ספייקיות, מחלקה של מודלים המעבדים מידע כגישושים חשמליים קצרים, בדומה לתאי העצב במוח, מה שהופך אותן לטבעיות בטיפול בתזמון ואירועים מפוזרים בזרמי נתונים חיים.

גלאי בשכבות בהשראת המוח

המסגרת המוצעת משלבת שלוש רעיונות עיקריים בצינור واحد. ראשית, המדידות הנכנסות מתעבורת הרשת מנוקות ומנורמלות, ואז מומרות לדפוסי ספייק באמצעות שדות קליטה גאוסיאניים, שממירים ערכים משתנים לתזמונים מדויקים של פגיעות. לאחר מכן, שכבות קונבולוציה ספייקיות מיוחדות פועלות קצת כמו פילטרים בראייה, סורקות את הספייקים כדי לחלץ תבניות משמעותיות במרחב ובזמן, כגון פרצי פעילות חריגים או תקופות שקט. לבסוף, הספייקים המעובדים נכנסים למאגר נוירונים מתפתח שיכול לגדול, למזג או להסיר יחידות לאורך זמן, מה שמסייע למערכת להסתגל כאשר התנהגות הרשת נעה.

לאפשר ל־readout ללמוד מהר ובקלות

כדי להפוך את תגובות הנוירונים להחלטות האם הפעילות הנוכחית תקינה או חשודה, המחברים משלבים את שיטת ה־extreme learning machine בתוך המאגר. במקום לכוונן בעדינות חיבורים רבים שלב אחר שלב, היחידה הזאת קובעת את הקשרים הפנימיים באקראי ומחשבת את משקולות הפלט בשלב אנליטי אחד, ובכך נמנעים לולאות אימון חוזרות. הגלאי שופט כל קלט חדש על ידי השוואת מה שהרשת חוזה למה שמגיע בפועל. אם אף נוירון במאגר לא מגיב בעוצמה מספקת, או אם שגיאת החזוי גדולה מדי, המערכת מתייגת את האירוע כחריגה. העיצוב הזה מיועד לשמור על שימוש זיכרון נמוך, למידה מהירה וצריכת אנרגיה צנועה, וכל זאת בזמן אמת.

עד כמה השומר הדיגיטלי מצליח

המסגרת נבחנת בשני מבחנים תובעניים. הראשון, Numenta Anomaly Benchmark, מכיל עשרות סדרות זמן אמיתיות וסינתטיות המדמות עומסי שרתים, תנועת רשת ואותות תפעוליים אחרים, שרובם תקינים עם חריגות נדירות בלבד. השני, CIC-IDS2017, כולל חבילות רשת אמיתיות עם התקפות ידועות כגון פרצי מניעת שירות וחדירות רשת. בשני מערכי הנתונים השיטה החדשה משיגה באופן עקבי יתרון על פני מערכות מבוססות ספייק קודמות בדיוק, תפיסה (recall), איזון כולל בין זיהוי להחמצה ומדד קורלציה העמיד לאי־שוויון בכיתות. היא גם מציגה השהיית גילוי נמוכה יותר וצריכת אנרגיה מופחתת, הודות לספייקים מונחי־אירוע ולאופטימיזציה חד־פעמית של שכבת ה־readout.

מה זה אומר לאבטחה היומיומית

ללא מומחים, המסקנה העיקרית היא שמחקר זה מציע דרך מגובשת ויעילה יותר לנטר תעבורת רשת חיה בחיפוש בעיות. על ידי שאיבת רעיונות מאופן שבו המוח מטפל בתזמון ובאותות מפוזרים, ובהפשטת אופן הלמידה של שלב ההחלטה הסופי, המערכת מסוגלת להסתגל לתבניות משתנות, לפעול באופן רציף על נתונים בזרם ועדיין לעבוד במסגרת תקציבי חישוב וכוח מוגבלים. למרות שנדרשים כיוונון נוסף וגרסאות ידידותיות לחומרה לפני פריסה על המכשירים הקטנים ביותר, העבודה מצביעה על כלי אבטחה עתידיים שיהיו הן יותר ערניים והן חסכוניים יותר, ותסייע לשמור על שירותים מחוברים בטוחים מבלי להעמיס על המכשירים המגנים עליהם.

ציטוט: Li, W. A hybrid spiking convolutional neural framework with extreme learning machine for enhanced anomaly detection in network security. Sci Rep 16, 15559 (2026). https://doi.org/10.1038/s41598-026-46811-4

מילות מפתח: אבטחת רשת, זיהוי חדירות, רשתות עצביות ספייקיות, זיהוי חריגות, נתונים בזרם